|
Nueva falsificación de barra de direcciones en IE
|
|
VSantivirus No. 1503 Año 8, martes 17 de agosto de 2004
Nueva falsificación de barra de direcciones en IE
http://www.vsantivirus.com/vul-ie-spoofing-direcciones.htm
Por Angela Ruiz
angela@videosoft.net.uy
Según publica Secunia, Liu Die Yu, quien ha reportado muchas otras vulnerabilidades en el Internet Explorer, ha descubierto recientemente otra, que potencialmente puede ser explotada por usuarios maliciosos para conducir un ataque del tipo "phishing" (suplantación de un usuario o sitio legítimo por uno falso para que un usuario desprevenido deje allí sus datos).
La vulnerabilidad es causada porque el IE puede fallar al intentar actualizar la barra de direcciones después que se han realizado una sucesión de determinadas acciones en la ventana correspondiente.
Esto puede ser explotado para visualizar el contenido de un sitio malicioso mientras se muestra el URL de un sitio de confianza en la barra de direcciones del explorador.
La vulnerabilidad ha sido confirmada en un sistema con todas las actualizaciones al día, con Internet Explorer 6 ejecutándose en Microsoft Windows 2000 con SP4 y Microsoft Windows XP con SP1.
Versiones anteriores, también podrían verse afectadas.
Una demostración de este fallo, ha sido realizada por Secunia en el siguiente enlace:
http://secunia.com/internet_explorer_address_bar_spoofing_test_popup/
Para realizar la prueba, seleccione en dicha página, el enlace "Test My System". Si su sistema es vulnerable, se abrirá una nueva ventana con el contenido de Yahoo.com. A los 5 segundos, la página mostrada de esa ventana, será la de Secunia, mientras en la barra de direcciones se verá "http://www.yahoo.com/".
Los vectores actualmente conocidos para provocar un ataque de este tipo, no funcionan en un sistema con Windows XP con el Service Pack 2 instalado.
Esta vulnerabilidad no afecta al sistema, si se configura al mismo como se indica en el siguiente enlace:
Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm
Créditos: Liu Die Yu
Relacionados:
Internet Explorer Address Bar Spoofing Vulnerability
http://secunia.com/advisories/12304/
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|